Header graphic for print
Datenschutz News & Trends
Rubrik: Compliance, Datenübermittlungen, Datenschutz International, EU-Standardvertragsklauseln

Artikel 29-Datenschutzgruppe definiert Anforderungen an das künftige „EU-US Privacy Shield“

Mit Spannung war das Ergebnis der Verhandlungen zwischen EU und USA über ein „Safe Harbor 2.0“-Abkommen erwartet worden. Gestern hatte die EU-Kommission dann die Eckpunkte für das geplante „EU-US Privacy Shield“ der Öffentlichkeit vorgestellt, das zukünftig den internationalen Datentransfer zwischen der EU und den USA regeln soll. In ihrer Stellungnahme vom heutigen Tag teilte die Artikel 29-Gruppe daraufhin ihre Sicht auf das „EU-US Privacy Shield“ mit und benannte die Anforderungen an den künftigen „Safe Harbor“-Nachfolger.

Hintergrund

Mit seinem Urteil vom 6. Oktober 2015 im Fall „Schrems“ hat der EuGH nicht nur das Safe Harbor-Abkommen für unwirksam erklärt, sondern ein datenschutzrechtliches Erdbeben für den internationalen Transfer und die Verarbeitung personenbezogener Daten von EU-Bürgern in den USA ausgelöst. Über den dadurch ausgelösten Schwebezustand, die Haltung der zuständigen Datenschutzbehörden, aktuelle Maßnahmen und mögliche Zwischenlösungen ist viel geschrieben worden.

Viele betroffene Unternehmen hatten die Hoffnung, dass nach dem Auslaufen der Schonfrist Ende Januar 2016 endlich Klarheit geschaffen würde, welche Anforderungen beim Datenaustausch mit US-amerikanischen Unternehmen künftig zu beachten sein werden.

Gestern in der Pressekonferenz der EU-Kommission wurde schnell klar, dass es noch einige Wochen Zeit in Anspruch nehmen wird, bis aus der erzielten „Einigung“ zwischen EU und USA über die künftigen Grundlagen des internationalen Datentransfers werden können. Immerhin hat die Artikel 29-Datenschutzgruppe (Article 29 Working Party – „WP29„) in ihrer Stellungnahme von heute klar gemacht, welchen Anforderungen die Regelung über ein „EU-US Privacy Shield“ genügen muss.

Bedenken der WP 29-Gruppe

Mit Blick auf das gestern von der EU-Kommission angekündigte „EU-US Privacy Shield“ begrüßte die WP 29-Gruppe zwar den Umstand, dass die Verhandlungsführer von EU und USA offenbar zu einer Einigung gelangt sind, äußerte aber zugleich Bedenken hinsichtlich der aktuellen Rechtslage in den USA und stellte in Aussicht, dass es die finalen Entwürfe und die rechtliche Verbindlichkeit ihrer Inhalte sehr genau prüfen werde. Auch die WP 29-Gruppe lässt zwischen den Zeilen erkennen, dass es die angekündigten Eckpunkte für recht vage hält und auf ihre Belastbarkeit prüfen wird.

Anforderungen der WP29-Gruppe – Die „4 Garantien“

Zwei Tage hatte die WP 29-Gruppe getagt, um die Folgen des EuGH-Urteils und die Ergebnisse ihrer Untersuchungen zu den anderen verfügbaren Mechanismen beim internationalen Datentransfer (insbesondere Standardvertragsklauseln, Binding Corporate Rules) zu besprechen. Herausgekommen sind folgende „4 Garantien“ der WP 29-Gruppe an die künftige Einigung zwischen EU und USA:

  • Klarheit – Transparenz – vollständige Information. Die WP 29-Gruppe fordert klare, verständliche Regelungen für das künftige Abkommen. Die Betroffenen sollen von Anfang an absehen können, was mit ihren personenbezogenen Daten geschieht, die Gegenstand des Datentransfers und der Verarbeitung in den USA sind.
  • Erforderlichkeit – Angemessenheit. Außerdem muss die Verarbeitung der Daten den in Europa etablierten Prinzipien der Angemessenheit und Erforderlichkeit genügen.
  • Interessenabwägung. Die WP 29-Gruppe fordert zudem, dass die Regelungen einen gerechten Ausgleich zwischen den berechtigten Interesses des Datenexporteurs (am Transfer und der Verarbeitung der personenbezogenen Daten in den USA) und den schützenswerten Interessen der Betroffenen (dass der Datenverarbeitung klare Grenzen gesetzt werden) schaffen müssen. Im nationalen Recht ist eine derartige Interessenabwägung aus § 28 BDSG bekannt.
  • Unabhängige Datenschutzaufsicht. Zur Durchsetzung der Datenschutzrechte und Garantien fordern die Vertreter der WP 29-Gruppe Regelungen für eine effektive und objektive Datenschutzaufsicht. Personell sehen sie diese Aufgabe bei den Gerichten oder anderen Behörden mit entsprechender Befugnis und Handlungshoheit.
  • Wirksame Rechtsmittel. Schließlich müssten den Betroffenen wirksame Rechtsmittel zur Durchsetzung ihrer Rechte und Ansprüche vor derartigen unabhängigen Gremien offen stehen.

Die Forderungen der WP 29-Gruppe sind keineswegs überraschend, sind sie doch bereits in der Entscheidung des EuGH vom 6. Oktober 2015 angelegt, der gefordert hatte, dass eine neue rechtliche Grundlage

klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen muss, so dass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen.“

(Urteilsgründe, Rn. 91 ff.)

Bedeutung der „4 Garantien“ für Standardvertragsklauseln und BCR

Keinen Zweifel gelassen hat die WP 29-Gruppe daran, dass sie den Bestand dieser „4 Garantien“ auch zum Maßstab für ihre Bewertung von Standardvertragsklauseln und Binding Corporate Rules (BCR) machen wird. Nicht nur das „EU-US Privacy Shield“, sondern auch Standardvertragsklauseln und BCR werden in den kommenden Wochen also weiter auf dem Prüfstand stehen.

Zum Schluss ihrer Stellungnahme erinnerte die WP 29-Gruppe noch einmal an die Prüfungskompetenz der EU-Datenschutzbehörden und den vom EuGH erwähnten Prüfungsauftrag.

Was folgt aus der Stellungnahme der WP29-Gruppe?

Mit ihrer Stellungnahme hat die WP 29-Gruppe nicht zur Klärung des Schwebezustands beim internationalen Datentransfer beigetragen. Dies war allerdings auch kaum zu erwarten. Zu unkonkret waren die Ergebnisse der Verhandlungsführer von EU und USA, die unter dem Druck der zum 31. Januar 2016 gesetzten Frist gezwungen waren, wenigstens die Zielbestimmung für eine künftige Einigung zu präsentieren. Was bleibt ist, dass die „kommenden Wochen“ (vgl. die Pressemitteilung der EU-Kommission vom 2. Februar 2016) dazu genutzt werden müssen, verbindliche und überprüfbare Regelungen für das „EU-US Privacy Shield“ zu vereinbaren (Schritt 1), die sich dann anschließend wiederum der Prüfung durch die WP 29-Gruppe stellen müssen (Schritt 2).

Aktuelle Schätzungen gehen davon aus, dass Schritt 1 nicht vor Ende Februar 2016 abgeschlossen sein wird und dass die anschließende Überprüfung sich bis in den April 2016 ziehen könnte.

Wie nach der Entscheidung des EuGH im vergangenen Oktober bleibt es deshalb unverändert wichtig, die aktuelle Entwicklung kontinuierlich im Auge zu behalten.